Beratung zu ISMS
Nach Art. 43 Abs. 1 Satz 2 BayDiG sind bayerische Behörden verpflichtet, ein Informationssicherheitskonzept zu erstellen. Mit diesem soll, mittels verhältnismäßiger technischer und organisatorischer Maßnahmen, die Sicherheit der informationstechnischen Systeme sichergestellt werden.
Ein Informationssicherheitskonzept bezieht sich nicht nur rein auf die IT, sondern beispielsweise auch auf Gebäude, Personal und Abläufe und unterstützt die die Kommunen bei der Etablierung und dem Betrieb der Konzepte, Dokumentationen und Richtlinien.
Ein Informationssicherheitskonzept ist der erste Schritt in Richtung eines Informationssicherheits-Management-Systems (ISMS).
Ein ISMS umfasst Methoden und Regeln, um die Informationssicherheit in einer Organisation zu etablieren, zu steuern, aufrechtzuerhalten, zu kontrollieren und kontinuierlich schrittweise zu verbessern. Im Laufe der Zeit haben sich verschiedene ISMS-Standards auf dem Markt etabliert.
Informationssicherheits-Systeme
Es gibt verschiedene etablierte ISMS-Standards welche sich qualitativ und quantitativ, sowie hinsichtlich konkreter Maßnahmenempfehlungen stark unterscheiden. Daraus ableitend ist der möglicherweise benötigte Beratungsaufwand unterschiedlich hoch.
Bei einer Zertifizierung sollte darauf geachtet werden, dass diese durch eine unabhängige und akkreditierte Person durchgeführt wird.
- BSI IT-Grundschutz
Der IT-Grundschutz vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ist vom Umfang der größte Standard, welcher aber auch zwischen vielen organisatorischen Maßnahmen und IT-Systemen differenziert.
Allerdings gibt es beim BSI IT-Grundschutz verschiedene Abstufungen. Zum einen gibt es die Basis-, Standard- und Kern-Absicherung, sowie das IT-Grundschutzprofil Basis-Absicherung Kommunalverwaltung.
♦ Das IT-Grundschutz-Profil „Basis-Absicherung Kommunalverwaltung“ stellt einen niederschwelligen Einstieg in den IT-Grundschutz speziell für Kommunen dar. Diese Auswahl ist nicht zertifizierbar.
♦ Die Basis-Absicherung umfasst alle grundlegenden Maßnahmen des IT-Grundschutzes. Die Basis-Absicherung ist nicht zertifizierbar, allerdings kann ein Testat erworben werden.
♦ Die Kern-Absicherung dient der Absicherung einzelner hochkritischer Prozesse. Aufgrund der vielfältigen Aufgaben der Kommunalverwaltung dürfte eine Kern-Absicherung nur in wenigen Fällen zielführend sein. Sie ist unabhängig zertifizierbar.
♦ Die Standard-Absicherung umfasst vollumfänglich alle Maßnahmen des IT-Grundschutzes. Sie ist unabhängig zertifizierbar.
- ISO 27001
ISO 27001 von der International Organization for Standardization spezifiziert die Anforderungen an das Festlegen, Umsetzen, Betreiben, Überwachen, Überprüfen, Instandhalten und Verbessern eines dokumentierten Informationssicherheits-Managementsystems (ISMS) im Kontext zu den allgemeinen Geschäftsrisiken einer Organisation. Die Normreihe ist somit generisch gehalten, um möglichst auf alle Organisationen unabhängig von Größe, Typ und Geschäftsfeld anwendbar zu sein. Sie ist unabhängig zertifizierbar.
- CISIS12
Das Compliance-Informations-Sicherheits-Management-System in 12 Schritten des IT-Sicherheitscluster e.V. soll die Komplexität der Einführung eines ISMS für kleine und mittlere Organisationen reduzieren und ist eine Fortentwicklung von ISIS12 welche um Compliance-Aspekte ergänzt wurde. Er bezieht Best Practice Beispiele mit ein und orientiert sich an allgemeinen Handlungsempfehlungen.
Informationssicherheits-Konzepte
- Arbeitshilfe der Innovationsstiftung Bayerische Kommune
Die Arbeitshilfe wird von der Innovationsstiftung Bayerische Kommune herausgegeben. Sie ist als Einstieg in das Thema Informationssicherheit zu sehen und eignet sich insbesondere für kleinere und mittlere Kommunen, die vor dem Hintergrund der gesetzlichen Verpflichtung des BayDiG ein erstes Informationssicherheitskonzept einführen. Seit der Version 3.0 ist die Arbeitshilfe stark mit dem Siegel "Kommunale IT-Sicherheit" verknüpft. Nach erfolgreicher Einführung der Arbeitshilfe, kann daher das Siegels "Kommunale IT-Sicherheit" des LSI erworben werden.
- VDS 10000
VdS 10000 (vormals VdS 3473) von der VdS Schadenverhütung GmbH ist ein speziell auf die Anforderungen kleiner und mittlerer Unternehmen / Organisationen ausgerichtetes Sicherheitsmanagementsystem. Es bildet die Mindestanforderungen an die Informationssicherheit ab und hat eine breite Verständlichkeit zum Ziel. VdS 10000 ist im Vergleich zu anderen ISMS-Standards kürzer gefasst und lediglich durch die VdS Schadenverhütung GmbH selbst auditierbar.
- ISMS4KMO
isms4kmo ist eine Weiterentwicklung von ISIS12. Hierdurch kann ein bestehendes ISMS nach ISISI12 weiter betrieben, jedoch nicht weiter zertifiziert werden.